数字经济下消费者个人信息保护研究

孙 浩

（山东交通学院交通法学院 山东济南 250037)

随着数字经济对于信息的广泛收集和应用，非法采集和泄露个人信息的问题变得愈加严重，出现了大量因为消费者个人信息泄露而造成的现象性案件。近几年电信网络诈骗案件屡见不鲜，据统计，九成以上的电信诈骗源于个人信息泄露，犯罪分子通过非法获取的公民个人信息注册手机卡、银行卡，作为诈骗犯罪的基础工具，或利用这些信息对诈骗对象进行“画像”，实施精准诈骗。

另一方面，消费者个人信息安全不仅涉及个人权益的保护，数据精准化分析下的泄露和非法使用甚至会威胁到国家安全。2022年7月21日，国家互联网信息办公室对滴滴全球股份有限公司（以下简称为“滴滴公司”）做出行政处罚决定，经查明滴滴公司存在16项违法事实，归纳起来主要是违法收集用户手机存储信息以及过度采集用户人脸识别信息、学历信息、定位信息、通话信息等多项个人信息，同时网络安全审查还发现，滴滴公司存在严重影响国家安全的数据处理活动。由此我们可以发现，如果消费者个人信息被广泛采集，经过系统处理后形成大数据，即可根据消费者的人体生物特征、社交圈子特征、种族基因特征、消费习惯特征以及人口中不同信仰者所占比例等，设计出不同的商业政策甚至政治应对策略，在被别有用心的不法分子使用后，甚至会危及到国家安全。

一、数字经济下消费者个人信息保护的法治建设现状

（一）立法保护。当前我国的个人信息保护法治建设步伐加快，已经逐步形成了具有中国特色的消费者个人信息保护的法律体系，包括法律、司法解释、行政法规、规章、规范性文件、标准在内的完整体系，涵盖了民事、刑事、行政三个方面的保护。刑事立法方面，2009的施行的《刑法修正案（七）》详细规定了非法获取公民个人信息罪，2015年施行的《刑法修正案（九）》将其更名为侵犯公民个人信息罪，同时加大了惩处力度；民事立法方面，2021年施行的《民法典》在原有《民法总则》规定的基础上加强了对涉及消费者个人信息保护问题的隐私权等人格权的保护，同时2014年实施的《消费者权益保护法》也多次提及个人信息保护；行政立法方面，我国还从多个角度制定实施了专门法律，例如2015年实施的《国家安全法》、2017年实施的《网络安全法》、2021年实施的《数据安全法》和《个人信息保护法》以及正在制定当中的《反电信网络诈骗法》。除此之外，最高院、最高检还出台了一系列个人信息保护相关的司法解释；国务院和各有关部门也出台了若干行政法规、规章和规范性文件来加强信息和数据保护。另一方面，我国还出台了大量消费者个人信息保护相关的标准。

（二）司法保护、行政保护和社会监督保护。除完善立法外，在个人信息保护方面，我国也建立起了比较完备的司法、行政执法和社会监督保障体系。司法方面，各级人民法院、人民检察院致力于维护消费者个人信息保护工作，打击违法犯罪。根据相关统计，2017年6月至2022年6月五年间，全国法院审理侵犯公民个人信息刑事案件超万件，其中判处三年以上有期徒刑的案件比例达到19.50%。政府行政方面，网信部门和工信部门是数字经济下消费者个人信息保护的重要负责部门，负责个人信息处理者处理个人信息行为的安全评估等，例如针对广大网民反映强烈的手机应用程序对个人信息的非法获取、越权收集等侵权行为，网信办在2021年5月组织了有针对性的检测活动，发现若干问题，并要求相关手机应用程序运营者在限定日期内完成整改等。

另外，我国消费者协会等相关社会组织也十分关注消费者个人信息保护问题，并起到了社会监督的作用。中消协曾于2018年8月到10月间开展测评活动，旨在统计分析手机应用程序个人信息收集与隐私政策的相关数据；在有中国消费者协会作为主办单位的2021年央视“315”晚会上，曝光表面清理垃圾实则收集用户信息的手机清理类软件、在未征得消费者同意的情况下收集消费者人脸识别信息的商家等。

二、数字经济下消费者个人信息保护面临的问题和困难

（一）执法难度较大。复杂性高、专业性强是数字经济领域最突出的两大特点，由于广泛涉及移动互联网、云计算、人工智能、区块链等先进技术，因此具有较高的行业门槛，这也加大了行业相关监管人员的执法难度。在实践中，由于相关专业人才及技术的缺乏，大多数执法人员对于Cookie、哈希算法、NFT等基本专业术语都倍感陌生，监管对象对个人信息收集和使用的必要性、合理性问题对其来说更是一头雾水；同时由于网络环境的隐蔽性，外加监管部门的监管资源与监管对象的庞大体量不相匹配，执法人员面临着明确管辖难、异地取证难、固化证据难等一系列问题，要求其对每一起消费者个人信息侵权案件都进行有效处理是难以实现的。

（二）缺乏统一界定标准。我国多项立法都指出，个人信息处理应遵循“合法、必要、正当”原则，然而当前对于消费者个人信息采集管理使用的合法合理必要性的研究不够，很多仍然是停留在“消费者知情即同意”的简单理解上。[1]以防止经营者利用大数据对消费者价格歧视为例，《个人信息保护法》《电子商务法》虽有明确规定，要求经营者公开、透明地处理消费者个人信息，不得通过其所了解的消费者的消费习惯、兴趣爱好等特征在价格等交易条件上实行不公平的差别待遇；然而在实务中，经营者因存在价格歧视行为而受到处罚的情况屈指可数，另一方面，根据北京消协于2022年9月发布的大数据“杀熟”问题调查报告，一半以上受访者表示有过被经营者价格歧视的经历。究其原因不外乎两点，一是对商家提供个性化服务与价格歧视的关系较为模糊；二是如何准确界定并正确适用“合法、必要、正当原则”,现行法律规定没有给出明确的标准答案。

（三）责任主体较为分散。一方面，由于经营者对于消费者个人信息的收集和处理存在层层转包的现象，导致数据中介数量庞大，进而时常难以确定个人信息侵害行为的准确来源；另一方面，消费者个人信息泄露案件责任主体较为分散，呈现出“多因一果”的特征。一起消费者个人信息泄露案件既可能存在经营者前端信息的泄露问题，也可能存在后端侵害人通过不法手段获取的问题，还可能存在末端受害人的未尽注意义务的问题。[2]以典型的消费者使用出行手机应用程序购票后行程信息泄露案件为例，主要原因包括软件平台方的恶意泄露、黑客的攻击以及消费者自身的不慎泄露。因此在有效溯源机制没有建立、事实难以完全查清的情况下，如何明确具体责任主体，以及如何推定涉及方应当承担的责任，目前仍是一个难题，同时这也将影响消费者民事权益的实现和消费者维权的积极性。

（四）监管部门权责不清。此前，我国对于消费者个人信息保护的监管大多处于“分散监管”的状态，具体由网信办、工信部、市监局、公安机关以及各行业监管机构负责监管事项。但由于各监管部门信息难以联通，各部门权责不明，执法标准不一，存在监管重叠、监管空白以及用户投诉无门等情况，经常被诟病为“九龙治水，各自为政”。《个人信息保护法》的出台预防和解决了多个监管部门各成一派、多头混治的问题，体现在其特别突出了国家网信部门对于个人信息保护工作的统筹协调作用。然而，由于其他各部门皆属于《个人信息保护法》规定的“履行个人信息保护职责的部门”，均可适用《个人信息保护法》《数据安全法》《网络安全法》，因此执法领域仍然不免有重叠之处，可能存在交叉执法、边界不清的问题。如房地产开发公司将消费者购房时所留个人信息违法泄露给装修公司，住建部门与市场监督管理部门就出现管辖权冲突，双方均有权依照《个人信息保护法》的规定对其进行处罚，这种情形下如果双方互相推诿，认为应由对方执法，就会使得某一执法领域出现监管真空的状态。另一方面，由于多部门均对同一地区或者同一问题有执法权限，分别要求企业接受监督管理，如报送材料、实地调查、接受约谈等，也无疑增加了经营者的综合成本。

（五）消费者维权困难。根据山东消协发布的调查问卷结果，当个人信息被泄露或出售时，58%的消费者因维权途径不清而自认倒霉，49%的消费者因程序复杂而放弃维权，44%的消费者因缺乏证据而中止维权。究其原因不外乎三点：一是虽然《个人信息保护法》第69条明确规定了侵害个人信息权益的侵权责任与损害赔偿数额的确定方法，但其中作为计算依据的“受到的损失”与“获得的利益”应当怎么理解，仍需进一步明确和研究。二是现有的“谁主张，谁举证”民事诉讼证据规则不利于受害者提起民事诉讼进行维权。个人信息流转环节众多，传播隐蔽复杂，追溯取证难度大，消费者很难证明自己所遭受的损害事实与侵权行为之间存在因果关系，因此很难在诉讼中举证，即使付出大量时间精力收集证据成功举证，其胜诉后获得的赔偿金额也很低。三是维权机制运行效率低。消费者如向行政机关投诉举报同样面临举证的困境，另外绝大多数案件的涉案金额不高，达不到公安机关立案标准，无法以侵犯公民个人信息罪追究侵权方的刑事责任。

三、数字经济下消费者个人信息保护的对策与建议

（一）建立完善技术辅助人制度。当前，司法与行政执法部门已经认识到数字经济下互联网、大数据等领域专业人才对于提高监管队伍发现及解决问题的重要性。但此类专业人才的稀缺导致其流动性较高，同时专业性较强也导致其难以精通数字经济的所有具体领域；另一方面其专业能力也可能随着被引进后由于脱离生产与研发岗位一线而逐渐退化。因此建立数字经济下消费者个人信息保护的技术辅助人制度成为了解决当前困境的最优解。近些年来，为了解决各种超过司法人员知识储备范围的专门性问题，检察机关引入专业力量来协助办理专业性较强的案件，如破坏生态环境的公益诉讼案件。因此，网信部门与市场监管部门等执法单位在有关消费者个人信息保护案件的处理中，也可以通过建立完善技术辅助人制度，提高工作的效率和质量，提高消费者个人信息保护的力度。

（二）加快相关配套规范性文件的制定工作。前文提到当前对于消费者个人信息采集管理使用的合法合理必要性的研究不够，很多仍然是停留在“消费者知情即同意”的简单理解上，这不仅给一线执法工作人员带来困扰也使得广大消费者维权困难。因此有必要通过制定相关配套规范性文件的方式进行针对性的细化。对此可以借鉴2019年11月国家网信办、工信部、公安部、市场监管总局联合制定的《手机应用程序违法违规收集使用个人信息行为认定方法》，该方法的内容十分具体，既有个人可以直观判断的，也有必须通过后台技术手段才能确认的违法违规行为，但是无认是哪种确认方式，执法人员均可以在定性定量后进行监督、整改及处罚。另外，《个人信息保护法》也需要配套规范性文件，对于违法违规行为的情节判定、罚款的区间进一步细化明确，完善认定标准与方法，防止执法人员因为规定不明而不敢处罚，也防止因为认知偏差而矫枉过正。

（三）压实多方主体责任。在实践中，一方面，平台企业作为经营者是数字经济领域的重要参与主体，消费者的个人信息也大多由其进行收集与处理，为了达到减少经营者泄露消费者个人信息的风险的目的，要加强对其主体责任落实情况的监督。例如企业对数据收集、传输、处理等环节的管理，对员工获取处理数据的限制和要求等。另一方面，其他主体责任的落实也不容忽视，主要表现在数据在产生之后会与包括学校、医院或政府机关等在内的多元化主体发生特定关系，例如当前疫情防控阶段，各地推广使用健康码以及场所码来实现科学防疫、精准防疫，这时的责任主体就涉及到委托建立健康码系统的政府卫健部门、负责流调的疾控中心、以及场所码的拥有者等，当这些主体因为自身的主观或者客观原因造成个人信息泄露时，根据《民法典》《数据安全法》《个人信息保护法》，甚至《刑法》的规定，相关部门也要被追究民事、行政或者刑事责任。[3]

（四）加强监管执法的协调和联动。由于普通消费者的专业能力有限、信息渠道不畅，因而在与作为经营者的互联网平台企业的互动过程中，往往处于相对弱势的地位，其自身信息权益更多依赖于政府部门通过加强监管执法的方式进行保护。基于个人信息的易传播性以及侵犯手段的隐蔽性、多样性，侵犯消费者个人信息的案件可能会与多个部门有所关联，因此部门之间如能在各司其职的基础上做到互相沟通协调方案、互相支持提供线索，那么共同监管、联合执法的最大作用就得以发挥出来。此外，可以采取运动式治理方式来应对政府部门所面临的编制紧缺、任务繁琐、经费短缺等问题。所谓的运动式治理是指：在一段时间内集中精力针对某一领域进行专项整治活动，精准打击违法犯罪分子，使消费者的合法权益得到充分保障，这种专项整治活动不仅对犯罪分子具有震慑作用，还可以起到全民普法、培训基层的作用，为以后日常化监管打下基础。

（五）提高消费者自我保护意识和能力。在当前的数字经济时代，消费者要提高依法合理维权意识、风险防范意识和自我保护能力。消费者固然需要自发学习相关知识，而更加行之有效的措施则是相关部门积极开展普法活动，通过全方位无死角的宣传提醒消费者谨防个人信息泄漏，当发现不合理、过度收集个人信息的行为时，第一时间向网信、工信等相关监管部门举报。同时，相关监管部门要加大对投诉举报平台的宣传力度，让消费者熟知常见的维权渠道和维权方式，如违法和不良信息举报中心（12377网站与举报热线）、网络不良与垃圾信息举报受理中心(12321网站与举报热线)等，进而不断提高消费者自我保护的意识。